OpenSSH je slobodná sada nástrojov implementujúca protokol SSH/SecSH, ktorá poskytuje šifrovanie sieťových služieb ako vzdialené prihlásenie alebo vzdialený prenos súborov.

Toto je zoznam kľúčových vlastností OpenSSH:

• Projekt s otvoreným zdrojovým kódom
• Slobodná licencia
• Mocné šifrovanie (3DES, Blowfish, AES, Arcfour)
• Presmerovanie X11 (zašifrovaná komunikácia so systémom X Window)
• Presmerovanie portov (šifrovaný kanál pre bežné protokoly)
• Mocné overovanie totožnosti (Verejný kľúč, jednorazové heslo a overenie totožnosti cez Kerberos)
• Presmerovanie agenta (jedno prihlásenie ku všetkým službám)
• Použiteľnosť s inými systémami (kompatibilita so štandardizovanými protokolmi SSH 1.3, 1.5 a 2.0)
• Klient a server pre prenos súborov cez SFTP pri protokole SSH1 aj SSH2.
• Akceptovanie vstupeniek systémov Kerberos a AFS
• Kompresia dát

Projekt s otvoreným zdrojovým kódom

Zdrojový kód OpenSSH je pre každého voľne dostupný cez Internet. Toto kódu zaručuje znovupoužiteľnosť a možnosť kontroly. Možnosť revízie kódu zaručuje, že v ňom ktokoľvek môže nájsť chyby a opraviť ich. Výsledkom je bezpečný kód.

Slobodná licencia

OpenSSH nie je chránený žiadnou obmedzujúcou licenciou. Môže ho používať každý na akékoľvek účely čo zahŕňa aj možnosť komerčného využitia. Licencia OpenSSH je súčasťou distribúcie týchto nástrojov. Veríme, že Svet bude bezpečnejší ak smerovače, sieťové aplikácie, operačné systémy a zvyšné sieťové zariadenia budú mať v sebe integrovaný protokol SSH.

Všetky súčasti obmedzujúcej povahy (ako patenty, napr pre ssl) boli zo zdrojového kódu odstránené. Akékoľvek licencované alebo patentované komponenty sú vyberané z externých knižníc (ako napr. OpenSSL). Symetrické šifrovanie IDEA už nie je dostupné, pretože je v mnohých krajinách chránené patentom. Miesto neho si ľudia môžu zvoliť niektoré iné voľne dostupné šifrovanie (Nevidíme dôvod používať patentované symetrické šifrovanie, keď máme k dispozícii mnoho voľne dostupných šifrovaní).

Mocné šifrovanie

OpenSSH podporuje šifrovania 3DES, Blowfish, AES a Arcfour. Tieto šifrovanie nie sú patentovo chránené.
Triple DES je časom preverené, zrozumiteľná šifra, ktorá umožňuje mocné šifrovanie.
Blowfish je rýchla bloková šifra vyvinutá Bruceom Schneierom, ktorú môžu použiť ľudia, ktorí potrebujú rýchlejšie šifrovanie.
AES je šifra štandardizovaná americkým úradom Federal Information Processing Standard (FIPS). Jeho názov je Advanced Encryption Standard (pokročilý šifrovací štandard) a bol vyvinutý ako náhrada predchádzajúceho štandardu DES. Jedná sa o rýchlu blokovú šifru.
Arcfour je rýchla prúdová šifra. Veríme, že je kompatibilná s komerčnou šifrou RC4[TM], od spoločnosti RSA Security Inc.

Šifrovanie sa začne ešte pred overením totožnosti, takže sa žiadne heslá ani iné osobné údaje neprenášajú v nezašifrovanej podobe. Šifrovanie sa tiež používa aj ako ochrana pred podvrhnutými paketmi.

Presmerovanie X11

Presmerovanie X11 umožňuje šifrovanie komunikácie so vzdialeným systémom X windows, takže nikto nebude môcť sledovať prácu na vzdialenom x-termináli ani vkladať do komunikácie nevhodné príkazy. Program automaticky nastaví DISPLAY na serverovom počítači a presmeruje každé spojenie s X11 cez zabezpečený kanál. Systém automaticky generuje falošné overovacie informácie (Xauthority), ktoré smeruje na vzdialený počítač. Lokálny klient automaticky rozpozná prichádzajúce pripojenie X11 a nahradí falošné overovacie údaje skutočnými údajmi (a tieto skutočné údaje nikdy neprezradí vzdialenému počítaču).

Presmerovanie portov

Presmerovanie portov umožňuje presmerovať TCP/IP spojenie so vzdialeným počítačom cez zašifrovaný kanál. Bežné internetové aplikácie ako POP sa takýmto spôsobom dajú zabezpečiť.

Mocné overovanie totožnosti

Mocné overovanie totožnosti chráni pred niekoľkými bezpečnostnými problémami, ako napríklad pred podvrhnutím IP, falošným smerovaním a podvrhom DNS. Metódy, ktoré sa používajú pri overení totožnosti sú tieto:: .rhosts spolu s overením pravosti stanice na báze RSA, overenie len cez RSA, jednorazové heslo s s/kľúčom a overenie pomocou systému Kerberos.

Presmerovanie agenta

Overovací agent, bežiaci na používateľovom notebooku alebo lokálnej pracovnej stanici, sa dá použiť na uchovávanie overovacích RSA alebo DSA kľúčov. OpenSSH automaticky presmeruje spojenie k overovaciemu agentovi pri každom pripojení, a preto nie je potrebné ukladať overovacie kľúče RSA alebo DSA na žiadnom počítači v sieti (okrem používateľovho lokálneho počítača). Overovacie protokoly nikdy kľúče nečítajú, môžu si len overiť, či agent používateľa potrebné kľúče má. Overenie sa môže uskutočniť aj tak, že použije kľúč uložený na čipovej karte.

Použiteľnosť s inými systémami

Verzie OpenSSH pred verziou 2.0 podporovali protokoly SSH 1.3 a SSH 1.5, ktoré umožňovali komunikáciu s väčšinou systémov UNIX, Windows a ďalšími komerčnými implementáciami SSH.

Od verzie OpenSSH 2.0 pribudla okrem podpory protokolov SSH 1.3 a SSH 1.5 aj podpora protokolu SSH 2.0. V tomto protokole bola vynechaná podpora RSA algoritmu -- pretože v čase vzniku protokolu 2.0 bol RSA ešte chránený patentom -- a používal miesto neho voľne dostupné algoritmy DH a DSA.

Teraz OpenSSH poskytuje podporu oboch verzií. Dokáže komunikovať s oboma typmi SSH klientov a serverov!

Klient a server pre prenos súborov cez SFTP pri protokole SSH1 aj SSH2

Od verzie OpenSSH 2.5.0, je do sady nástrojom zabudovaná úplná podpora SFTP. Môžeme ju použiť pomocou klientského príkazu sftp(1). Podsystém servera sftp-server(8) automaticky pracuje s oboma protokolmi SSH1 aj SSH2.

Akceptovanie vstupeniek systémov Kerberos a AFS

OpenSSH na vzdialenom počítači akceptuje vstupenky od systémov Kerberos a AFS. Používateľ tak môžem pristupovať ku všetkým službám využívajúcim Kerberos a AFS, bez toho aby museli znova zadať heslo.

Kompresia dát

Kompresia dát pred šifrovaním zabezpečuje zvýšenie výkonu pri pomalom pripojení do siete.